rc140 – Recon1

> 9447 CTF > 9447 CTF 2015 > rc140 – Recon1

Someone has attacked your site. We have attached a log collected from the time of the attack.
This task is split into two parts. The end goal (Recon 2) is to find the full name of the attacker.
The flag for Recon 1 is not the name of the attacker. Recon 1 flag will appear as 9447{…} on your screen when you find it.
Hint! The attacker has gone on vacation, and won’t be reading or responding to emails. You do not need to email anyone for this challenge.

 

Solução

Analisando o log percebemos dois ip’s
192.241.254.77 acessando pelo navegador apenas era apresentado a frase “go away”.

Analisando o outro IP 192.241.254.77 e acessando pelo navegador havia uma página corporativa -> http://www.williestoleyour.pw/

Depois de perder bastante tempo analisando o site fazendo scan de vulnerabilidade, análise do código fonte.

Bastava acessar o web.archive.org para verificar o histórico de modificação do domínio, o site tinha uma modificação no dia 15/11.

https://web.archive.org/web/20151115002534/http://www.williestoleyour.pw/

Única modificação que tinha era o e-mail: info@dynamiclock.pw

Acessando o domínio: dynamiclock.pw a flag era revelada.

Flag

9447{YouAreStalKey}

Criado por

RTFM